Budeme se zabývat velmi důležitým tématem pro správce domén, a to jsou zásady skupiny nebo GPO, ale:
Co je GPO (objekt zásad skupiny)? Na co jsou?GPO, jak naznačuje jejich název, jsou směrnice, které můžeme použít na počítač nebo uživatele k provedení určitých úkolů nebo k provedení změn, které chceme, aby se projevily, můžeme například použít GPO, aby se firemní tapeta odrazila na počítačích všech uživatelů, nebo můžeme použít GPO tak, aby v určitých strojích spustil konkrétní program, proto nám GPO jako správcům umožňuje nastavovat parametry v naší doménové síti.
V tomto tutoriálu vysvětlíme, jak vytvářet, upravovat nebo mazat GPO zásad skupiny.
1. Jak vytvořit GPO
Známe postup pro vytvořte základní GPO na Windows Serveru 2008 R2 (Stejné schéma se používá v systému Windows Server 2012). Musíme vstoupit do panelu Správa zásad skupinyK tomu máme dvě možnosti, první, zadávání prostřednictvím:
- Start
- Nástroje pro správu
- Správa zásad skupiny:
Další možnost zadat je pomocí příkazu Spustit:
Windows + R.
Píšeme následující:
gpmc.mscZadejte klíč a vstupujeme do panelu GPO:
V okně Správa zásad skupiny zobrazíme doménu, ve které pracujeme, klikneme pravým tlačítkem a vybereme Vytvořte objekt GPO a propojte jej zde:
Tuto akci můžeme provést také výběrem domény, výběrem z nabídky akcí Vytvořte objekt GPO a propojte to zde
Dalším krokem je pojmenování našeho GPO, aby se identifikovala akce, kterou má tento GPO provést:
Klikneme na Přijmout.
2. Konfigurujte vybavení a uživatelská nastavení
Jak vidíme, zobrazí se okno se dvěma parametry pro zadání omezení nebo úprav.
Nastavení vybaveníUmožňuje nám omezit přístup nebo zabránit úpravám zařízení bez ohledu na to, který uživatel se k tomuto zařízení přihlásil.
Uživatelské nastaveníUmožňuje provádět úpravy nebo omezovat oprávnění konkrétního uživatele bez ohledu na to, ke kterému zařízení se přihlásil.
3. Upravte libovolný parametr na GPO zařízení nebo uživatele
Nejprve musíme mít jasno v tom, jaké omezení nebo zásady použijeme (tým nebo uživatel). Podívejme se na několik praktických příkladů:
Žádají nás jako správce o deaktivaci automatického přehrávání na počítači, pro ně musíme dodržovat následující trasu.
Jakmile klikneme pravým tlačítkem na náš GPO a klikneme na Upravit, pokračujeme v hledání možnosti Konfigurace zařízení, proto máme 2 možnosti:
Předpokládejme, že vybereme možnost 1 umístěnou v pravém panelu, musíme na ni dvakrát kliknout Nastavení vybavení, Pak v Směrnice, později v Šablony pro správu a tam hledejte požadovanou možnost, protože vidíme, že máme několik možností:
- Součásti systému:
Konfigurace součástí operačního systému (Průzkumník Windows, Kalendář atd.).
- Tiskárny:
Spravuje konfiguraci tiskáren v doméně.
- Kontrolní panel:
Spravuje ovládací panel, který umožňuje zobrazovat nebo nezobrazovat prvky.
- Síť:
Konfigurujte parametry sítě včetně DNS.
- Systém:
Spravujte různé možnosti v systémových komponentách.
- Všechny hodnoty:
Ukazuje všechny nezařazené možnosti.
V našem příkladu musíme zadat součásti systému Windows a poté vybrat možnost Zásady automatického přehrávání:
Poklepeme na něj a vybereme požadovanou možnost, v tomto případě Zakázat automatické přehrávání:
Poklepeme, vybereme možnost Umožnit, a můžeme si vybrat, ve kterých jednotkách uvedenou reprodukci deaktivujeme:
Pro dokončení klikneme na Aplikovat a pak dovnitř Přijmout.
Musíme vzít v úvahu něco velmi důležitého, GPO lze použít na celou doménu nebo na konkrétní OU (organizační jednotku).
V našem příkladu použijeme GPO Test GPO na OU testovacího zařízení (Tato OU byla vytvořena v doméně), proto v Správa zásad skupiny, vyhledáme organizační jednotku, na kterou chceme použít náš GPO (v tomto případě Zkušební zařízení).
Klikneme pravým tlačítkem na OU a vybereme Propojit stávající GPO.
Vybereme GPO, který jsme vytvořili, a klikneme na něj Přijmout.
S tím na zařízení nebo předměty, které jsou v OU "Zkušební zařízení" Bude na ně platit omezení automatického přehrávání.
Pokud nás naopak jako administrátory žádají o správu parametru o uživateli, postup je stejný jako výše popsaný s tím rozdílem, že možnosti na uživatelské úrovni jsou mnohem širší.
Předpokládejme, že musíme skrýt všechny položky na ploše. K tomu musíme upravit náš GPO (kliknout pravým tlačítkem, upravit) a vybrat Uživatelské nastavení:
Poklepeme a vybereme, Směrnice a následně Šablony pro správu. Zobrazí se různé možnosti, které máme na úrovni uživatele.
- Sdílené složky:
Spravujte parametry sdílených složek.
- Komponenty Windows:
Spravujte součásti v konfiguraci operačního systému.
- Lavice:
Spravujte plochu systému Windows i ikony na něm.
- Nabídka Start a hlavní panel:
Umožňuje spravovat všechny možnosti v nabídce Start a na hlavním panelu.
- Kontrolní panel:
Umožňuje vám spravovat, co se zobrazuje a co není zobrazeno v ovládacím panelu.
- Síť:
Spravujte parametry sítě.
- Systém:
Nastavuje možnosti v systémových nastaveních.
Pro náš případ musíme zadat možnost Lavice a tam vyberte možnost "Skrýt a deaktivovat všechny položky na ploše".
Poklepeme a vybereme možnost Umožnit, pak klikneme na Aplikovat a pak dovnitř Přijmout.
Konečně, aby GPO mohl plnit svou funkci v profilu uživatele, musíme vědět, ve které organizační jednotce (organizační jednotce) je uživatel, jakmile nám budou tyto informace jasné, umístíme organizační jednotku do okna Správa zásad skupiny, klikneme pravým tlačítkem, vybereme možnost Propojit stávající GPO.
Vybereme GPO a klikneme na Přijmout.
Toto je postup pro vytvoření a propojení objektů zásad skupiny v počítači nebo uživateli v systému Windows Server
4. Jak upravit GPO
Proces úpravy objektu GPO je velmi jednoduchý, musíme otevřít okno „Správa zásad skupiny“ pomocí možnosti:
- Start
- Nástroje pro správu
- Správa zásad skupiny
Nebo jej můžeme také otevřít rychleji pomocí příkazu Spustit, který se zobrazí stisknutím:
Windows + R.
A piš gpmc.msc a stiskněte Enter nebo Accept:
Jakmile se nacházíme v okně Správa zásad skupiny Uvidíme, že v levém panelu jsou vytvořeny GPO:
Můžeme jednoduše kliknout pravým tlačítkem Upravit:
Nebo výběrem objektu GPO a z nabídky Akce, Vybrat Upravit:
Tam upravíme požadované změny podle požadavku a přijmeme.
ZnámkyVěnujte pozornost těmto údajům o GPO:
- Je velmi důležité neupravovat výchozí GPO řadiče domény "Výchozí zásady domény “ protože pokud provedeme změny v tomto GPO, můžeme mít nestabilní výsledky v celé naší doméně, což nám přinese problémy a špatné časy.
- Aby měl GPO požadovaný účinek, musíme jej propojit s doménou nebo organizační jednotkou (organizační jednotkou).
- K vytváření, úpravám nebo odstraňování objektů zásad skupiny v naší doméně musíme mít oprávnění správce.
Existují určité třídy GPO, které musíme vzít v úvahu v našich rolích jako správci nebo asistenti:
- GPO na úrovni místního týmu:
Vztahují se pouze na zařízení, které je má přiřazené, bez ohledu na doménu, se kterou je propojeno.
- GPO na úrovni webu:
Toto GPO platí pro uživatele a / nebo zařízení webu bez ohledu na to, ke které doméně patříte.
- GPO na úrovni domény:
Toto GPO platí pro všechna (bez výjimky) zařízení a uživatele domény, na které pracujeme.
- GPO na úrovni organizační jednotky (OU):
Toto GPO platí pro uživatele a zařízení v dané organizační jednotce.
Všechny tyto typy GPO jsou založeny, jak jsme již zmínili dříve, na požadavcích a potřebách organizace. Dnes je od společnosti Microsoft k dispozici více než 3668 zásad, a to jak na úrovni uživatelů, tak týmů, musíme být velmi opatrní při způsobu úpravy a používání těchto GPO v naší doméně.
5. Jak najít GPO v mé doméně
Kromě toho, co jsme viděli, můžeme hledat GPO, a to v případě, že je v naší doméně vytvořeno mnoho GPO, a proto sledujeme následující postup:
Krok 1
Otevíráme Správce zásad skupiny, hledáme doménu a klikneme pravým tlačítkem na Hledat:
V zobrazeném okně musíme zadat následující hodnoty:
- Doména pro vyhledávání
- Položka k hledání (Název GPO, odkaz atd.)
- Stav (pokud si přejeme)
- Hodnota (Konkrétní jméno, které hledáme)
Klikneme na Přidat a později v Hledat:
Tam můžeme kliknout Upravit takže nás systém vezme přímo k úpravě uvedeného GPO nebo můžeme uložit výsledky pro budoucí vyhledávání. Kromě toho, co jsme zmínili, máme následující možnosti pro úpravu GPO pomocí možnosti Nabídka nebo kliknutím pravým tlačítkem na GPO:
- Upravit:
Jak jsme viděli dříve, tato možnost nás vede k úpravě parametrů našeho GPO (omezení nebo nastavení).
- Stav GPO:
Jakmile jej propojíme s webem, doménou nebo organizační jednotkou, výchozí stav je Povoleno, existují také možnosti Vypnout uvedené GPO, pokud zaškrtneme Zakázat, ponecháme uvedené GPO bez akce.
- Vytvořit zálohu:
Umožňuje nám provést zálohu vybraného objektu GPO.
- Obnovit ze zálohy:
Umožňuje nám obnovit GPO z kopie uložené v dřívějším datu.
- Konfigurace importu:
Umožňuje import konfigurace GPO do konkrétní složky zabezpečení (K tomu je důležité mít předem vytvořenou zálohu).
- Uložit zprávu:
Uloží sestavu GPO ve formátu HTML.
- Nové okno odtud:
Otevřete nový prodej.
- Kopírovat:
Zkopírujte vybraný objekt GPO.
- Odstranit:
Odstraňte vybraný objekt GPO.
- Přejmenovat:
Přejmenujte vybrané GPO.
- Aktualizace:
Aktualizuje změny provedené v objektu GPO.
- Pomoc:
Zobrazí nápovědu systému Windows.
Také pokud chceme přidat komentář k GPO, je to možné, musíme jít na následující trasu:
Vybereme GPO, ke kterému chceme přidat komentář, klikneme pravým tlačítkem Upravit, nebo prostřednictvím nabídky Akce, možnost Upravit:
Jakmile se zobrazí okno, vybereme možnost Vlastnosti z nabídky Akce.
Tam se rozvineme na záložku Komentáře, zadáme svůj komentář a klikneme na Aplikovat a pak dovnitř Přijmout.
6. Jak odstranit GPO
Jsou chvíle, kdy je nutné deaktivovat a odstranit některé objekty GPO. Chcete -li odstranit existující objekt GPO, můžeme to provést dvěma způsoby.
Způsob 1Nejprve to může být dáno klikněte pravým tlačítkem na GPO a vyberte možnost Odstranit:
Poté klikněte na Přijmout.
Způsob 2A druhá alternativa je prostřednictvím nabídky Akce, možnost Odstranit.
Nakonec klikněte na Přijmout.
